Startseite > Security > Von der Richtlinie zur Realität

Cybersicherheit als Chefsache

Von der Richtlinie zur Realität

28. Oktober 2024, 9:06 Uhr | Interview: Diana Künstler

Oliver Lucas, Geschäftsführer von NFQ Solutions: „Viele Unternehmen unterschätzen, wie vernetzt die Wirtschaft ist. Die Sicherheitsanforderungen betreffen nicht nur sie selbst, sondern auch ihre Lieferanten.“

Wie wirkt sich die NIS2-Richtlinie auf Unternehmen aus? Und was müssen Geschäftsführer jetzt tun, um Haftungsrisiken zu vermeiden? Oliver Lucas von NFQ Solutions gibt spannende Einblicke in Cybersicherheit, die Herausforderungen für Online-Marktplätze sowie praktische Empfehlungen.

connect professional: Cybersicherheit im Allgemeinen und die NIS2-Richtlinie im Speziellen sind aktuell von großem Interesse. Können Sie kurz erläutern, was für Ihre Kunden vor diesem Hintergrund aktuell am relevantesten ist und wo sie Unterstützung suchen?

Oliver Lucas: Mit dem Übergang von meinem alten Unternehmen Ecom Consulting zur NFQ-Gruppe haben wir unser Beratungsportfolio für IT- und Digitalisierungsprojekte stark erweitert. Cybersicherheit ist ein großes Thema, das viele unserer Kunden umtreibt. Die NIS2-Richtlinie, die seit dem 18. Oktober 2024 Anwendung findet, betrifft in erster Linie Unternehmen im IT-Bereich. Aber die Reichweite der Richtlinie wird oft unterschätzt. Es gibt ein klares Regelwerk, das vor allem für größere Unternehmen und kritische Infrastrukturen gilt. Allerdings ist unsere Wirtschaft vernetzt und NIS2 verpflichtet auch Unternehmen, die mit diesen kritischen Firmen als Lieferanten zusammenarbeiten, ihre Sicherheitsstandards anzupassen. Das bedeutet, dass selbst Unternehmen, die nicht direkt von NIS2 betroffen sind, indirekt in die Pflicht genommen werden. Jedes Glied dieser Kette muss ein entsprechendes Sicherheitsniveau erreichen. Viele Firmen fragen sich daher, ob sie davon betroffen sind und wie sie darauf reagieren sollen. Hier bieten wir umfassende Beratungen, von organisatorischen Fragestellungen bis hin zu Penetrationstests, bei denen wir Cyberattacken simulieren, um Sicherheitslücken zu erkennen.

connect professional: Was raten Sie Unternehmen, die sich mit der NIS2-Richtlinie beschäftigen müssen, aber bisher wenig Erfahrung im Bereich Cybersicherheit haben?

Lucas: Unabhängig von der NIS2-Richtlinie müssen Unternehmen Cybersicherheit ernst nehmen, weil die Bedrohungen so greifbar und akut sind. Wahrscheinlich haben Sie in Berichten oder Webinaren schon mal den „Sicherheitstacho“ der Telekom¹ gesehen – die Zahlen dort sind wirklich alarmierend. Vor zehn Jahren konnten Unternehmen vielleicht noch sagen: „Ich bin uninteressant, mich greift keiner an.“ Aber das hat sich geändert. Heute sind es keine Menschen mehr, die gezielt angreifen, sondern Bots, die alles attackieren, was sie finden können. Sie suchen nach offenen Türen und nutzen jede Schwachstelle, um Schaden anzurichten oder Geld zu erpressen. Es ist daher essenziell, dass sich alle betroffenen Unternehmen – und das sind mehr, als man auf den ersten Blick vermuten würde – intensiv mit dem Thema auseinandersetzen.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

„Vor zehn Jahren konnte man noch sagen: ‚Mich greift niemand an.‘ Heute sind es Bots, die alles attackieren, was eine Schwachstelle hat.“

Der erste Schritt ist, einen Selbstcheck durchzuführen, um zu sehen, wo sie stehen. Deshalb empfehle ich den „Cyber Security Cube“², den wir in Zusammenarbeit mit Experten entwickelt haben. Er ist Teil der Digitalisierungsoffensive „Mission TOP Five“³, bei der ich Mitgründer bin. Dieser Cube hilft dabei, das Sicherheitsniveau des Unternehmens einzuschätzen und gibt erste Handlungsempfehlungen. Nach dem Selbstcheck ist es wichtig, ein Informationssicherheits-Managementsystem (ISMS) zu etablieren, um Zugriffsrechte und Datenflüsse zu kontrollieren. Dazu gehört auch, das Sicherheitsbewusstsein im Unternehmen zu stärken – die Mitarbeiter müssen wissen, wie sie mit Zugangsdaten und Passwörtern richtig umgehen. Ein weiterer zentraler Punkt ist die regelmäßige Aktualisierung von Software, was viele Unternehmen im Mittelstand oft vernachlässigen. Sicherheitspatches und Updates müssen zeitnah eingespielt werden, um Schwachstellen zu schließen. Ein ebenso wichtiger Punkt ist die Durchführung regelmäßiger Backups. Im Falle eines Angriffs können diese lebensrettend sein. (Anm.d.Red.: In einem Fachartikel für onlinehaendler-news.de⁴gibt Oliver Lucas sieben konkrete Tipps zur Vorbereitung auf die NIS2-Richtlinie.)

connect professional: Wie hilft NFQ Solutions konkret Unternehmen bei der Umsetzung von Cybersicherheitsmaßnahmen?

Lucas: Wir bieten eine Reihe von Dienstleistungen an, von der Beratung über konkrete Sicherheitstests bis hin zu Softwarelösungen. Dabei greifen wir auf unser breites Netzwerk an Experten zurück, auch in Zusammenarbeit mit unserer Initiative „Mission TOP Five“, die Mittelstandsunternehmen bei der Digitalisierung unterstützt. Darüber können wir Lösungen anbieten, wie zum Beispiel das Replizieren von IT-Systemen, damit Unternehmen im Falle eines Angriffs auf ein Backup-System zurückgreifen können.

connect professional: Wie sehen Sie die Praxisumsetzung der NIS2-Richtlinie in Unternehmen?

Lucas: Viele Unternehmen müssen sich zunächst einmal klar werden, wie sie organisatorisch aufgestellt sind. Denn ein wesentlicher Teil der Anforderungen ist organisatorischer Art und kann durch interne Workshops und Festlegung von Abläufen und Prozessen adressiert werden. Unternehmen sollten einen Notfallplan aufstellen, der festlegt, was im Fall eines Cyberangriffs zu tun ist. Die Bedrohung ist real und betrifft jedes Unternehmen, unabhängig davon, ob es direkt oder indirekt von NIS2 betroffen ist.

Zudem müssen Lieferanten und deren Sicherheitsstandards überprüft werden, da viele Cyberangriffe über Dritte kommen. Schließlich rate ich dazu, sich Unterstützung von Experten zu holen, besonders bei komplexeren Themen wie Penetrationstests, um Schwachstellen zu identifizieren.

connect professional: Wie ist es mit der Haftung der Geschäftsführung im Rahmen der Richtlinie?

Lucas: Das ist eine der Neuerungen der NIS2-Richtlinie: Geschäftsführer können persönlich haftbar gemacht werden, wenn sie ihre Sorgfaltspflichten im Bereich Cybersicherheit vernachlässigen. Das bedeutet, dass sie in besonders groben Fällen mit ihrem Privatvermögen haften könnten. Es ist also entscheidend, dass die Geschäftsführung Cybersicherheit als Chefsache begreift und klare Verantwortlichkeiten im Unternehmen definiert.

connect professional: Was sind die größten Herausforderungen, denen sich Ihre Kunden derzeit im Zusammenhang mit Cybersicherheit gegenübersehen?

Lucas: Die größte Herausforderung besteht darin, dass Cybersicherheit oft als ein zusätzliches Thema unter vielen anderen betrachtet wird, obwohl es eigentlich existenziell für das Unternehmen ist. Viele Unternehmen haben gerade andere Sorgen, sei es durch die wirtschaftlichen Folgen von Corona oder den Krieg in der Ukraine, und zögern, Ressourcen in Cybersicherheit zu investieren. Aber das Thema kann nicht warten – die Bedrohung ist greifbar, und jede Verzögerung könnte fatale Folgen haben. Wir raten unseren Kunden daher, sich frühzeitig mit der Thematik auseinanderzusetzen.

connect professional: Wie bewerten Sie die Rolle von Cybersicherheitsversicherungen in diesem Zusammenhang?

Lucas: Versicherungen können eine gewisse Absicherung bieten, aber sie sind nur der letzte Schritt. Sie lösen nicht die eigentliche Aufgabe, nämlich das Unternehmen gegen Cyberangriffe abzusichern. Eine Cyberversicherung schützt nicht vor der Haftung unter NIS2. Unternehmen sollten daher nicht glauben, dass sie sich mit einer Versicherung aus der Verantwortung ziehen können, zumal es hier erhebliche Leistungsunterschiede bei den Anbietern gibt.

connect professional: Wie wirkt sich die NIS2-Richtlinie speziell auf Online-Marktplätze aus?

Lucas: Online-Marktplätze sind auch betroffen, aber nicht unbedingt dem Wortlaut der Richtlinie nach als „kritische Anbieter“, sondern eher als „wesentliche Anbieter“. Erfolgreiche Marktplätze haben oft einen direkten Konsumentenbezug und eine gewisse Relevanz im Handelsumfeld. Besonders Online-Marktplätze, die viele Drittanbieter integrieren, haben eine Art Multiplikatorfunktion. Das bedeutet, dass sie sowohl direkt als auch indirekt von den Vorschriften der NIS2 betroffen sein können. Daher müssen Marktplätze sich genau überlegen, wie sie ihre Onboarding- und Datenaustausch-Prozesse für Partner gestalten und hierbei Aspekte der Cyber Sicherheit mitberücksichtigen.

connect professional: Beziehen sich diese Anforderungen nur auf Marktplätze, die in den Branchen aktiv sind, die direkt von NIS2 betroffen sind – wie Energie- oder Abfallwirtschaft – oder auch auf andere?

Lucas: Mir sind noch keine vollumfänglichen Regelungen bekannt, die solche Fragestellungen klar definieren. Aber viele Marktplätze könnten betroffen sein. Jeder Marktplatzbetreiber sollte daher sicherstellen, dass die Daten seiner Nutzer und Partner geschützt sind. Das betrifft nicht nur große Plattformen wie Zalando, sondern beispielsweise auch spezialisierte Marktplätze für Smart-Home-Equipment, die aufgrund der Relevanz ihrer Produkte unter die Richtlinie fallen könnten. Wenn Marktplätze neue Lieferanten integrieren, sollten sie sicherstellen, dass diese ihre Daten sicher handhaben. Dabei geht es um die Absicherung der API-Schnittstellen, den Schutz der Endkundendaten und die Vermeidung von Sicherheitslücken durch Dritte. Wenn die dafür benötigte Expertise nicht inhouse verfügbar ist, um diese Prozesse einmal vollumfänglich aufzusetzen, empfiehlt es sich, externe Berater/Experten hinzuzuziehen. Es ist eine einmalige Investition, die sich garantiert auszahlt.

„Cybersicherheit ist keine bürokratische Aufgabe, sondern überlebenswichtig für das Unternehmen – NIS2 gibt uns nur einen Rahmen, um besser vorbereitet zu sein.“

connect professional: Was sind die langfristigen Auswirkungen der NIS2-Richtlinie auf Unternehmen?

Lucas: Langfristig wird die NIS2-Richtlinie das Bewusstsein für Cybersicherheit stärken, insbesondere bei mittelständischen Unternehmen. Es wird nicht mehr ausreichen, einmalige Investitionen in IT zu tätigen – Cybersicherheit ist ein Dauerthema, das kontinuierliche Aufmerksamkeit erfordert. Die Unternehmen müssen sich darauf einstellen, dass sie ihre IT-Systeme regelmäßig aktualisieren und ihre Sicherheitsstrategien immer wieder überdenken müssen. Unternehmen, die sich schon frühzeitig mit der Thematik beschäftigen und entsprechende Maßnahmen ergreifen, werden hier klar im Vorteil sein.

connect professional: Abschließend, was würden Sie unseren Lesern, insbesondere Geschäftsführern, mit auf den Weg geben?

Lucas: Cybersicherheit ist keine Frage der Wahl mehr, sondern eine Notwendigkeit. Die Bedrohung durch Cyberattacken wächst stetig, und die Folgen können verheerend sein, von finanziellen Verlusten bis hin zur Gefährdung der Existenz des Unternehmens. Die NIS2-Richtlinie zwingt Unternehmen, sich mit diesem Thema auseinanderzusetzen, und das ist gut so. Denn am Ende geht es nicht nur um die Erfüllung von Vorgaben, sondern um den Schutz des Unternehmens und seiner Zukunft.

^{1 https://www.sicherheitstacho.eu/#/}
^{2 securitycube.makrofactory.com/datenerhebung}
^{3 https://www.missiontop5.de/}
^{4 https://www.onlinehaendler-news.de/recht/politik-gesetze/cybersicherheit-7-tipps-vorbereitung-nis-2-richtlinie}